Трансграничная передача персональных данных

28/02/25

Б-152

Трансграничная передача персональных данных

Трансграничная передача персональных данных (ТППДн) ― это пересылка личных сведений граждан России в зарубежные страны.

Персональную информацию субъектов иностранным контрагентам отправляют операторы ПДн. О том, что выполняется трансграничная передача персональных данных, нужно обязательно уведомить Роскомнадзор. В противном случае, компания получит штраф.

Разберем, как пересылать личные сведения за границу, как корректно отправить уведомление.

В ст. 3 ФЗ-152 указано, что трансграничная передача персональных данных ― это пересылка личных сведений гражданина на территорию другого государства, в том числе органам власти, зарубежному физическому или юрлицу.

К этой категории не относится:

• обмен сведениями по кадрам между компанией из РФ и ее представительством в другой стране;
• обработка информации о субъекте из России непосредственно в РФ зарубежной компанией.

Тогда что относится к трансграничной передаче персональных данных?

Приведем два примера:

• Турагент направляет список россиян в египетский отель, чтобы забронировать номера.
• Самозанятый копирайтер принимает заказ на написание текстов о сотрудниках компании и перепоручает работу задачу фрилансеру из Казахстана. Чтобы ему было понятнее, с чем работать ― он отправляет личные данные сотрудников фрилансеру.

Еще один неочевидный, но достаточно популярный случай ― использование зарубежного ПО в деятельности. Например, WhatsApp всегда информирует в соглашении пользователей о том, что осуществляет обмен их данными с головной компанией, которая находится в другой стране. Но многие иностранные владельцы ПО об этом не говорят, а просто тихо пересылают сведения на иностранные серверы.

Компания-оператор и иностранный контрагент ответственны перед субъектом из РФ за то, что его личные сведения будут защищены при передаче зарубежному физическому или юрлицу. Если оператор передает личные сведения юридическому или физлицу из РФ ― за их сохранность ответственен только он. Для пересылки личных сведений сотрудника компания должна взять от него согласие на трансграничную передачу персональных данных.

Согласие на трансграничную передачу персональных данных ― скачать.

Согласно 152-ФЗ, зарубежные государства делятся на два типа:

До 01.03.2023 осуществление трансграничной передачи персональных данных в «адекватные страны» было свободным. Главное, чтобы операторы соблюдали 152-ФЗ, а гражданин, сведения которого передавали, знал, что оператор ПДн поручил сторонним лицам обработку его персональной информации.

С 01.03.2023 в силу вступила новая редакция статьи 12 152-ФЗ. Теперь главное условие при пересылке личных сведений о гражданах за рубеж ― это отправка уведомления в Роскомнадзор о том, что компания намеревается выполнить трансграничную передачу данных. Причем сначала следует направить уведомление, а уже потом заниматься деятельностью данного вида.

«Адекватные страны», то есть те, которые могут обеспечить адекватную защиту ПДн российских граждан

Это стороны Конвенции Европейского Совета о защите физлиц при автоматизированной обработке личных сведений и иные государства, которые включены в перечень Роскомнадзора (Конвенция от 28.01.81; приказ от 05.08.2022 № 128 — действует с 01.03.2023).

К примеру, это Ирландия, Азербайджан, Армения, Казахстан, Беларусь, Китай.

«Неадекватные страны» ― то есть те, которые не способны обеспечить адекватную защиту ПДн российских граждан

Это государства, которых не включены в указанные списки Роскомнадзора.

Рассмотрим, как направить уведомление в РКН.

Оцените, точно ли иностранный контрагент, которому вы планируете пересылать сведения, соблюдает конфиденциальность и обеспечивает защиту обрабатываемой информации. Каким образом это сделать ― в законе не указано. Но есть список сведений, которые компания должна запросить у зарубежного контрагента:

• Меры, которые иностранец предпринимает для защиты пересылаемых личных сведений граждан России. Условия, на которых информацию прекращают обрабатывать.
• Правовое регулирование в сфере защиты ПДн в государстве-адресате. Касается только «неадекватных стран».
• Сведения о зарубежном контрагенте, который будет получать ПДн. Если это юрлицо ― то наименование, если физическое лицо ― то ФИО. Кроме того, необходимо запросить номера телефонов, адрес почты и другие контактные данные.

Запрашивать такие сведения нужно у каждого иностранца, которому планируется отправлять ПД. Кроме того, их следует хранить ― они потребуются при проверках со стороны РКН.

Что это значит — оценить иностранное государство, в которое будет осуществляться трансграничная передача персональных данных? Это означает, что нужно присвоить стране статус ― «адекватная» она или «неадекватная».

Для этого достаточно свериться с перечнем, указанным в приказе №128 Роскомнадзора от 05.08.2022.

Перейдите в сервис подачи уведомлений на официальном сайте Роскомнадзора. Чтобы отправить уведомление онлайн, потребуется наличие учетной записи на портале Госуслуги. Если уведомление направляется от лица компании, то это должен быть личный кабинет компании, а не сотрудника.

Если у организации отсутствует личный кабинет на портале Госуслуги, она вправе скачать бланк уведомления с официального сайта РКН. Далее уведомление заполняют, распечатывают, его подписывает руководство и бланк в бумажном формате отправляют Почтой России в Роскомнадзор. Также допускается отнести его лично в РКН. Это указано в ч. 4 ст. 12 ФЗ-152.

В письме Роскомнадзора № 08ВМ-98928 указано, что оператор ПДн вправе заполнить и направить такое количество уведомлений, которое считает необходимым. Этот момент ничем не ограничен.

Варианты подачи уведомлений:

• можно направить один документ на все цели ТППДн и все государства, с которыми у компании есть контакты;
• можно заполнить отдельные бланки на каждую цель и каждую страну.

В дальнейшем, если у оператора меняется список государств или целей, он подает новое уведомление о намерении пересылать личные сведения субъектов в другое государство.

Право Роскомнадзора ― выдать запрет или ограничение в автоматическом режиме по результатам рассмотрения уведомления на трансграничную пересылку персональных данных. О решении РКН оператор узнает через 10 рабочих дней после отправки уведомления.

При проверке уведомления ведомство часто запрашивает всю информацию по оценке иностранного контрагента, который будет получать ПД, по соблюдению им мер защиты личных сведений при их обработке. Поэтому оптимальный вариант ― задокументировать и сохранить всю переписку с зарубежным юридическим или физлицом.

Отправить данные в Роскомнадзор необходимо на протяжении 10 дней. Если причина уважительная ― срок допустимо продлить, но максимум на 5 рабочих дней. Пока вся запрашиваемая информация не поступит в ведомство, вынесение решения приостанавливается.

ТППДн в «адекватные страны» может осуществляться сразу после того, как компания отправила уведомление ― ждать, пока ведомство вынесет решение не нужно. Это указано в ч. 10, ст. 12 ФЗ-152. Если говорить о «неадекватных странах», то в этом случае ждать решение по уведомлению обязательно. При получении запрета Роскомнадзора пересылать личные сведения российских граждан в эти страны нельзя.

Также Роскомнадзор может выдать запрет или ограничение на ТППДн по требованию уполномоченных госорганов, например, МВД или ФСБ. Такое решение обычно принимают для защиты интересов России, ее граждан, а также для обеспечения госбезопасности и суверенитета страны. Это указано в ч. 12 ст. 12 ФЗ-152.

Несоблюдение обязательств по регистрации в Роскомнадзоре приводит к ответственности ― компания может получить серьезный штраф за трансграничную передачу персональных данных без подачи уведомления или другие нарушения. Сумма штрафов варьируется в пределах 300-600 тыс. рублей.

Кстати, с 2023 года операторы ПДн обязаны иметь полный пакет документов в соответствии с требованиями ФЗ-152 для работы с личными данными на всех этапах. Пакет включает более 60 позиций разных документов и формируется индивидуально для каждой компании в зависимости от сферы ее деятельности и целей обработки ПДн. Формирование документов регламентировано не только в ФЗ-152, но и других подзаконных актах.

Подготовить или обновить внутреннюю документацию нужно перед регистрацией в Роскомнадзоре. Самое главное — разработать Политику оператора персональных данных. Этот документ ― ключевой. Он регулирует вопросы обработки и защиты ПДн.

GDPR ― это регламент Европарламента и Евросоюза о защите физлиц при обработке их ПДн. Под действие регламента также попадают российские компании, которые:

• Обрабатывают данные граждан ЕС при реализации им товаров или услуг. Поэтому если вы не знаете, какое гражданство у ваших покупателей или клиентов, учитывайте, что кто-то из них может считаться гражданином ЕС, если вы одновременно используете язык или валюту одной из стран ЕС и предлагаете оформить заказ на языке этой страны, например, указав на своем сайте, что эти товары или услуги предлагаются гражданам ЕС.
• Обрабатывают данные для исследования поведенческой активности граждан ЕС. Например, отслеживают онлайн-деятельность европейского гражданина для составления его профиля для анализа или прогнозирования личных предпочтений.

Требования Европейского регламента в целом аналогичны требованиям законодательства России. Например, в том, что у любой обработки ПДн должна присутствовать цель. Но есть и свои особенности. По правилам GDPR, оператор ПДн должен:

• Оценивать воздействие процесса обработки личных сведений на их защиту. В ст. 35 можно ознакомиться с порядком оценки.
• Назначать инспектора, который будет отвечать за защиту личных данных. Это требуется в ситуациях, когда основная деятельность компании заключена в обработке ПДн и масштабном, регулярном, а также систематическом мониторинге граждан.
• Незамедлительно уведомлять гражданина при утечке ПДн, если она может привести к высокой степени риска для прав и свобод субъекта.

Несоблюдение законов может привести к серьезным отрицательным последствиям.

ТППДн представляет собой пересылку личных сведений о физлицах в иностранное государство. Причем неважно, куда отправляются сведения ― в государственные органы, иностранные организации или физлицам, все это относится к ТППДн, а вы становитесь оператором.

К трансграничной передаче относится множество случаев ― оформление туров, бронирование отелей за рубежом. Компании становятся операторами, если работают с иностранными контрагентами, отправляют сотрудников в командировки или на мероприятия за границу.

Перед отправкой личных сведений за рубеж необходимо получить от физлица согласие на трансграничную передачу. Также у зарубежного контрагента следует запросить ряд сведений, например, о мерах, которые он предпринимает для защиты отправленных данных.

Важно уведомить РКН о том, что будет выполняться передача персональных данных за рубеж. Ведомство рассмотрит уведомление в течение десяти рабочих дней и только тогда допускается начинать передачу. Это указание не действует для «адекватных стран». В таком случае дожидаться решения по уведомлению не нужно.

В ряде случаев организации из РФ обязаны соблюдать Европейский регламент о персональных данных. Например, если предусматривается возможность продажи товаров или услуг гражданам Евросоюза.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

реклама

бизнес

юридические вопросы

маркетинг

Материалы по теме